Geplaatst door DE ROL VAN BIO IN OVERHEIDSORGANISATIES
Afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het ziet van NRC journalist Huib Modderkolk. Zie hier een recensie. Een boek over de schaduwkant van het internet, en daarmee verplichte literatuur voor elke zichzelf respecterende CISO. Maar ook de manager of toezichthouder van iedere denkbare organisatie zal baat bij dit werk hebben. Het heeft mij vooral bewust gemaakt van de enorme kwetsbaarheid van overheidsorganisaties.
Informatiesystemen
Ook COSO ERM 2017 gaf aan, dat in deze tijd, data en informatiesystemen cruciaal zijn voor het functioneren van organisaties. Hierdoor wordt het steeds essentiëler om de continuïteit van de bedrijfsprocessen goed te bewaken. Daarnaast moet de beveiliging passend zijn en in lijn met de wet- en regelgeving. Om dit mogelijk te maken is onlangs de BIO ontstaan die hier de criteria voor dicteert. Na het lezen van de BIO en de richtlijnen staat mij dan ook een zeer uitgeschreven en concrete aanpak voor ogen.
De achtergrond van BIO
Er bestond al enorm veel normering maar onlangs is deze samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee belangrijke keuzes gemaakt, namelijk een sterke focus op governance en risicomanagement. De ISO27002 is letterlijk overgenomen en bevat een concrete uitwerking van de 114 mogelijke beheersmaatregelen (controls).
Governance
De BIO creëert meer duidelijkheid over de governance rondom informatiebeveiliging (die nadrukkelijk bij bestuurders of lijnmanagers ligt). In de handreiking van de VNG “10 bestuurlijke principes voor informatiebeveiliging ” wordt hun rol klip en klaar uitgelegd. Los van de harde principes wordt er concreet gemaakt wat er nu werkelijk verwacht wordt.
De bestuurder is verantwoordelijk voor een veilige informatievoorziening. Het is daarom aan de bestuurder om de risicobereidheid te bepalen en daarmee te controleren of de maatregelen binnen de organisatie de risico’s terugbrengen tot een voor de bestuurder acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming.
Risicosturing
Maar waar te beginnen? Risicosturing wordt terecht als basis gebruikt bij het stellen van de juiste prioriteiten. Er dient een continu proces van identificatie en beoordeling van risico’s plaats te vinden. Denk hierbij bijvoorbeeld aan de volgende risico’s:
- privacy schendingen door een datalek
- informatie die niet integer is en/of het in verkeerde handen vallen van deze informatie
- gijzeling van belangrijke data
- economische schade door het uitlekken van vertrouwelijke plannen
- fysieke schade door storingen in systemen in de openbare ruimte
In de BIO zijn op basis van de risico’s (generieke schades en dreigingen) een drietal standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN.
Restrisico’s
Ná de analyse wordt bepaald wat nodig is qua beheersing en controls en hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Natuurlijk zijn risico’s nooit helemaal weg te nemen. Van de restrisico’s moet boven alles bepaald worden of ze acceptabel zijn. Dit alle behelst een continu proces waarbij het lijnmanagement ervoor moet zorgen dat steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls.
Tot slot
Hoewel er enorm veel aandacht naar IT uitgaat blijft de mens toch vaak het grootste gevaar. Bewustwording is daarmee een uitermate belangrijke control. Wellicht dat het verplicht lezen van het boek Het is oorlog maar niemand die het ziet dit bewustzijn tot grotere hoogtes kan stuwen.
Daarnaast lijkt het nu belangrijker dan ooit om als risicomanager (vanuit control of financiën) nadrukkelijk de verbinding met de CISO te zoeken.
Robert 't Hart 